セキュリティ体制の規範を確立する

この記事は、セキュリティとテクノロジのリーダーがセキュリティ体制管理規範を確立または最新化するのに役立ちます。 この規範では、重要な資産に対する最も可能性の高い攻撃パスを特定して排除することで、攻撃に対する組織の露出を継続的に減らすことに重点を置いています。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

この規範の理由

成功したサイバー攻撃のほとんどは、高度な悪用から始まるわけではありません。 まず、アイデンティティ、エンドポイント、インフラストラクチャ、アプリケーション、または構成管理に多く見られる、広く知られた悪用しやすい弱点を突くことから始めます。

セキュリティ体制規範は、攻撃が発生する前に防止するために存在し、セキュリティ運用 (SecOps) 規範を補完します。これは、侵害後の検出、調査、対応に重点を置いています。

  • セキュリティ体制は、攻撃者の機会を減らします。
  • セキュリティ運用では、防止が失敗した場合の影響が制限されます。

一緒に、それらは完全なセキュリティ運用モデルを形成します。

セキュリティポスチャに関する明確な専門領域がないと、組織はセキュリティポスチャ管理をしばしば次のようなものとして扱います。

  • 定期的な脆弱性スキャン。
  • コンプライアンス チェック ボックス。
  • 切断された修復プロジェクトのコレクション。

このアプローチでは、攻撃者に悪用されるまで、システム全体に関わる脆弱性が放置されたままになります。

この図は、セキュリティ体制管理とセキュリティ運用の補完的な性質を示しています。

Security Posture Management は攻撃の防止(インシデント発生前)に重点を置き、Security Operations は発生したインシデントへの対応(インシデント発生後)を担うことを示す図。

ミッションと成果

組織のテクノロジ資産全体で最も悪用可能なリスクを継続的に特定して排除することで、サイバー攻撃の可能性と影響を軽減します。

この規範を成熟する組織は、次のことを実現します。

  • 最新のIT環境全体にわたる資産の継続的な検出。
  • 悪用可能な脆弱性と攻撃パスに対する優先順位付けされた可視性。
  • 資産所有チームによる迅速で効果的な修復。
  • 攻撃面と爆発半径を減らします。
  • ビジネスの中断に対する回復性が向上しました。

セキュリティ体制は、ガバナンスの運用上の拡張機能として機能し、企業のリスクの優先順位を日常の修復作業に変換します。

この規範を適用する方法

セキュリティ体制管理規範を効果的に適用するには、組織のセキュリティ体制を理解して改善するための継続的なリスク主導型アプローチの確立に重点を置きます。

  1. ビジネス リスクに合わせた体制管理戦略を定義する
    ビジネスへの潜在的な影響に基づいてセキュリティ リスクを特定、測定、優先順位付けするための明確なアプローチを確立します。
  2. 環境全体で継続的な可視性を確保する
    ID、デバイス、アプリケーション、インフラストラクチャ、データにまたがる資産、構成、露出状況を常に最新の状態で把握します。
  3. セキュリティ リスクの評価と優先順位付けの方法を標準化する
    脆弱性、構成ミス、リスクが一貫して評価され、影響に基づいて対処されるように、明確なガイダンスを提供します。
  4. ポスチャ管理をビジネスの優先順位と重要な資産に合わせる
    価値の高い資産と主要なビジネス シナリオに影響を与える最も重要なリスクに対する修復作業に重点を置きます。
  5. 測定と修復を通じて姿勢を継続的に改善する
    評価、リスクの傾向、修復作業からの分析情報を使用して、時間の経過に伴う露出を減らし、セキュリティを強化します。

変更の管理

最新のセキュリティ体制管理は、静的な脆弱性レポートから継続的なリスク削減への移行を表します。

従来のアプローチ 最新の規範
定期的な脆弱性スキャン 継続的な資産とリスク検出。
コンプライアンスに基づく優先順位付け 脅威に基づく優先順位付け。
セキュリティ担当の検出結果 エンジニアリング チームとシステムのビジネス所有者との説明責任を共有しました。
1 回限り修復 継続的な修復と改善。
例外時のパッチ 既定でパッチを適用します。

次の図は、セキュリティ体制規範の重要な要素を示しています。

セキュリティ体制管理のミッションを示す図。資産を継続的に検出し、脆弱性を特定して優先順位を付け、軽減策を有効にします。

基本原則

主な最新化の原則は次のとおりです。

  • 有効化: ツールとレポートを超えます。 エンジニアリングチームと運用チームにガイダンス、コンテキスト、自動化、教育を提供し、通常の作業の一環としてリスクを軽減します。
  • スコープ: 複数のディメンションにわたる弱点に対処する:
    • 機能 - 設計と実装の欠陥に対処します。
    • 構成 -設定ミスや、時間の経過に伴う構成のずれに対処します。
    • 運用 - 不正使用 (弱い資格情報の処理など) を可能にする管理上および運用上のプラクティスに対処します。
  • 運用: 1 回限りのクリーンアップではなく、継続的なエンジニアリング アクティビティに体制の改善を行います。 そのためには、継続的なコラボレーション、文化的変化、段階的な進歩が必要です。

この規範には、1 回限り修復プロジェクトではなく、文化的な変化、継続的なコラボレーション、増分的な改善が必要です。

セキュリティ体制戦略

効果的なセキュリティ体制戦略では、次の 3 つの継続的なアクティビティに重点を置いています。

  1. 資産の検出: 次のような最新の資産全体にわたって資産を継続的に識別します。

    • ID システム
    • エンドポイント
    • SaaS アプリケーション
    • クラウドとオンプレミスのインフラストラクチャ
    • OT、IoT、および新しいプラットフォーム

    これには、資産の所有権、構成、プラットフォーム チームとの緊密なコラボレーションが必要です。

  2. 悪用可能なリスクを特定して優先順位を付ける: 次の脆弱性と攻撃パスに焦点を当てます。

    • 攻撃者が悪用するコストが高い。
    • 大規模運用でも高い信頼性。
    • マルチステージ攻撃の一般的なエントリ ポイント。

    脅威インテリジェンスと実際の攻撃パターンは、重大度スコアだけでなく、優先順位付けを通知する必要があります。

  3. 軽減策を有効にする: 資産所有チームと連携して、次の作業を行います。

    • 修復を既存のワークフローに統合します。
    • 摩擦を減らし、作業を繰り返します。
    • リスク削減目標に対する進捗状況を追跡します。

    セキュリティ体制は、修復がリスクを無視するよりも迅速かつ簡単になると成功します。

規範の役割とコラボレーター

セキュリティ体制は本質的にクロス機能です。

主な役割は次のとおりです。

  • エンジニアリングチームと運用チーム: テクノロジおよびセキュリティマネージャー、セキュリティおよびオートメーションエンジニアは、軽減策を実装し、以下の全体にわたって衛生を維持する責任を負います。

    • ID とアクセス
    • ネットワーク
    • エンドポイントとユーザーの生産性
    • インフラストラクチャとプラットフォーム (クラウド、オンプレミス、CI/CD)
    • データ
    • AI
    • OT環境

  • アーキテクチャの役割: システムを設計し、セキュリティ体制規範の監視と改善を制御します。

    • エンタープライズ アーキテクト
    • セキュリティ アーキテクト
    • インフラストラクチャ、ID、アプリケーション、データ、AI アーキテクト。
    • データと人工知能 (AI) アーキテクト。

  • セキュリティ戦略、統合、ガバナンス (その他): 以下を通じて方向性とサポートを提供します。

    • リスクの優先順位付けとメトリック
    • コンプライアンスとポリシーの調整
    • セキュリティ教育とエンゲージメント

  • 脅威インテリジェンスと SecOps: 攻撃者の行動、アクティブなキャンペーン、新しい手法に基づいて優先順位付けを通知します。

他の規範との連携

セキュリティ体制管理は、他の規範と密接に連携します。

  • SecOps: 防止は検出と応答を補完します。
  • セキュリティ戦略、統合、ガバナンス: リスクの優先順位付けとメトリック。
  • セキュリティ アーキテクチャ: 一貫性のあるコントロールの配置。
  • アクセスとアイデンティティ: アイデンティティ ベースの攻撃経路の低減。
  • インフラストラクチャ開発およびデータ セキュリティ: 全身的な弱点を排除します。

これらの規範を組み合わせることで、まとまりのあるセキュリティ運用モデルが作成されます。

テクノロジの柱との連携

セキュリティ体制は、すべてのテクノロジの柱にまたがっています。

  • ID – ID はほぼすべての攻撃の基礎となるリスクの高いエントリ ポイントであるため、この柱はセキュリティ体制の最優先事項です。 ほぼすべての多段階攻撃は、パス・ザ・ハッシュやチケット、その他の手法といった ID ベースの攻撃を利用して、横方向に移動し、組織内の他の資産へのアクセスを獲得します。 これらの攻撃では、多くの場合、IT 管理者または管理サービス アカウントに関連付けられている特権アカウントが使用されます。
  • エンドポイント: エンドポイントは、一般的な攻撃者の足掛かりであり、ステージング環境です。 エンドポイントの脆弱性をすばやく見つけて修正することが重要です。
  • インフラストラクチャ: インフラストラクチャの脆弱性を迅速に見つけて軽減することが重要です。これは、ホストされているワークロードとデータの依存関係が共有されるため、インフラストラクチャに広範な影響があるためです。
  • アプリ: 脅威アクターは、多くの場合、電子メール、コラボレーション、基幹業務、その他のアプリを対象にして組織全体に侵入してビジネス資産にアクセスするため、これらの脆弱性を迅速に見つけて軽減することが重要です。
  • データ: データは、盗難、恐喝、および中断のための価値の高いターゲットを提供します。 攻撃者は、多くの場合、データを知的財産の盗難、暗号化の対象にして、強要やランサムウェア、将来の攻撃の計画、その他の目的で活用します。
  • ネットワーク: ネットワーク接続に依存する脅威アクター攻撃操作。 ネットワーク セキュリティコントロールは、通信パスを制限し、攻撃者の動きを制限し、異常なフローを検出します。
  • AI: 新たな AI 攻撃領域には、新しい検出と保護機能が必要です。

この規範は、すべての柱で一貫したスキル、ツール、およびプロセスを構築します。

次のステップ

Microsoft Unified では、セキュリティ体制管理戦略、アーキテクチャ、テクノロジの最新化を促進するために、専門家主導のワークショップが提供されます。 これらのワークショップには次のものが含まれます。

  • アーキテクチャと戦略のワークショップ - セキュリティ導入フレームワーク (SAF) - 最高情報セキュリティ責任者 (CISO) ワークショップ* ワークショップでは、最新かつ効果的なセキュリティ戦略とプログラムの一環として、セキュリティ体制管理について説明します。
  • テクノロジー導入ワークショップ - オンボーディング アクセラレータ - Microsoft Security Exposure Management エンゲージメントは、Microsoft Security Exposure Management の導入を加速します。

Microsoft主導のワークショップの詳細については、カスタマー サクセス アカウント マネージャーにお問い合わせください。

  • Last updated on